1.shiro认证

最新推荐文章于 2022-03-20 16:58:24 发布
最新推荐文章于 2022-03-20 16:58:24 发布
阅读量88 收藏
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43847957/article/details/115306341
版权

Shiro

代码地址gitee

1 认证

1.1 使用ini配置文件来实现认证

shiro实现简单的认证,用户名的账号和密码放在了根目录下的shiro.ini文件中

[users]
zhangsan=123123
lisi=123123

在设置securityManager的Realm的时候,选择new一个IniRealm,传入shiro.ini的路径

// 创建安全管理器对象
DefaultSecurityManager securityManager = new DefaultSecurityManager();
// 给安全管理器设置realm
securityManager.setRealm(new IniRealm("classpath:shiro.ini"));

// SecurityUtils 给全局安全管理器工具类设置安全管理器
SecurityUtils.setSecurityManager(securityManager);

// 关键对象subject主体
Subject subject = SecurityUtils.getSubject();

// 创建令牌
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123123");

// 用户认证
try {
  subject.login(token);
} catch (UnknownAccountException e) {
  e.printStackTrace();
  System.out.println("账号不存在");
} catch (IncorrectCredentialsException e) {
  e.printStackTrace();
  System.out.println("密码错误");
}

1.2 使用自己定义的Realm来实现认证

我们自定义的Realm需要继承AuthorizingRealm,重写doGetAuthorizationInfo()授权方法和doGetAuthenticationInfo()认证方法
点击这里查看源码追溯的文章
通过追溯源码可以得到如下依赖图:

  • AuthenticatingRealm 认证的Realm抽象类
  • AuthorizingRealm 授权的Realm抽象类
  • 用户名比较是在SimpleAccountRealm中的doGetAuthenticationInfo 完成用户名校验
  • 密码是在AuthenticatingRealm中的assertCredentialsMatch完成校验
  • 通过图可以看出,继承AuthorizingRealm就可以重写认证AuthenticatingRealm和授权AuthorizingRealm两个抽象类的方法

在这里插入图片描述

自定义Realm类

public class CustomerRealm extends AuthorizingRealm {

    // 授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }
  
    // 认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // token中获取用户名
        String principal = (String) token.getPrincipal();
        System.out.println("principal = " + principal);

        // 根据用户名获取数据,例如 queryUserByUsername(principal);
      	// 这里模拟数据库中获取数据
        if ("zhangsan".equals(principal)) {
            /**
             * 参数1: 返回数据库中正确的用户名
             * 参数2: 密码
             * 参数3: 提供当前的realm的名字,直接调用父类的getName()方法
             */
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo("zhangsan", "123123", this.getName());
            return simpleAuthenticationInfo;
        }
        return null;
    }
}

下述测试自定义Realm类的时候,只是将new IniRealm()改成new自己定义的Realm。后期和数据中的账号密码作比较是在自己定义的Realm中进行的。

// 创建securityManager
DefaultSecurityManager securityManager = new DefaultSecurityManager();

// 设置自定义Realm
securityManager.setRealm(new CustomerRealm());

// 将安全工具类设置为安全工具类
SecurityUtils.setSecurityManager(securityManager);

// 通过安全工具类获取Object
Subject subject = SecurityUtils.getSubject();

// 创建token
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","123123");

// 登录
try {
  subject.login(token);
} catch (AuthenticationException e) {
  e.printStackTrace();
}

1.3 自定义Realm的md5加密加盐比较

md5加密 是不可逆的,同一数据在进行md5加密后得到的加密字符串相同。

自定义MD5Realm类

public class CustomerMD5Realm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        // 获取身份信息
        String principal = (String) token.getPrincipal();

        // 根据用户名查询数据库
        if ("zhangsan".equals(principal)) {

            /**
             * 参数一: 数据库中的密码
             * 参数二:md5+salt之后的密码
             * 参数三:盐值
             * 参数四:当前realm的名称
             */
            SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(
                    "zhangsan",
                    "f997c74487a098c9477da3a0c10944a5",
                    ByteSource.Util.bytes("s0*5ps"),
                    getName());
            return info;
        }

        return null;
    }
}

md5加密测试类

相比之前不同的是,我们在new Realm之后,对Realm进行设置加密算法和迭代次数。迭代次数不同得到的MD5加密字符串也不同。

扩展:

​ 这里的盐值我们后期可以通过字符串生成工具来随机生成字符串,并将其存入数据库中,在进行登录的时候,用相同的加密原则来进行判断。例如,我们注册的时候是将盐值加载密码后面再进行加密,我们登录的时候就要将数据库中的盐值加在密码后面。

public class TestCustomerMD5RealmAuthenticator {
    public static void main(String[] args) {
        // 创建安全管理器
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        // 注入realm
        CustomerMD5Realm realm = new CustomerMD5Realm();
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        // 注册算法
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        // 散列次数
//        hashedCredentialsMatcher.setHashIterations(1024);
        realm.setCredentialsMatcher(hashedCredentialsMatcher);

        // 为securityManager设置Realm
        securityManager.setRealm(realm);

        // 设置securityManager
        SecurityUtils.setSecurityManager(securityManager);

        // 获取subject对象
        Subject subject = SecurityUtils.getSubject();

        // 创建token
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123");

        try {
            subject.login(token);
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误");
        } catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            System.out.println("密码错误");
        }

    }
}

下一章:shiro的授权

QQ1138139237
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro认证
qq_45177371的博客
11-04 114
1、shiro认证 2、盐加密 Shiro认证 , 盐加密 Pom依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</version> ...
shiro身份认证失败:org.apache.shiro.authc.IncorrectCredentialsException
m0_54853420的博客
04-08 1670
最近整个shiro项目的时候,发现一个小bug,在登录的时候,当用户名对,密码错的时候,本应提示用户名密码错误的,但提示信息却是身份认证失败的异常信息,项目后台窗口报错 org.apache.shiro.authc.IncorrectCredentialsException: Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken - zhangsan, rememberMe=true] did not m
org.apache.shiro.authc.SimpleAuthenticationInfo cannot be cast to org.apache.shiro.authz.Authorizati
weixin_44967580的博客
05-13 1412
项目场景: SpringBoot集成shiro-redis遇到的报错: org.apache.shiro.authc.SimpleAuthenticationInfo cannot be cast to org.apache.shiro.authz.AuthorizationInfo 类型转换异常 原因分析: 字面意思已经很明白了,就是认证的类和授权的类发生了相互转换,所以报错,那为什么会发生认证和授权发生相互转换呢? 解决方案: 提示:这里填写该问题的具体解决方案: 例如:新建一个 Message 对象,
Shiro整合Redis出现异常 org.apache.shiro.authc.SimpleAuthenticationInfo cannot be cast to org.apache.shiro
qq_45593903的博客
03-20 5433
这个问题也是折磨了我半天:// 注意本文中绿色字体和红色字体的区别 分析情况:在Shiro底层进行调用的过程中,身份验证和授权验证 都会尝试从缓存中取出数据。 使用debug进行调试:发现身份验证和授权验证 都会调用自定义Cache的get和put方法,并且两种验证过程传给自定义Cache的get和put方法的参数key是相同的。 底层第一步: 登陆: 登陆时首先会调用 getAuthenticationCacheKey(AuthenticationT...
shiro.freemarker.ShiroTags已打包
07-17
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了认证、授权、加密和会话管理功能,简化了开发人员在应用程序中处理安全问题的复杂性。ShiroTags 是 Shiro 提供的一套用于模板引擎的标签库,如 Freemarker ...
shiro报错 org.apache.shiro.UnavailableSecurityManagerException
javanewnewman的博客
07-08 8482
自己照着教程搭springboot+mybatis+shiro前后端分离的一个框架。碰到了问题,几天了,很困惑,烦请知道的朋友给点建议org.apache.shiro.UnavailableSecurityManagerException: No SecurityManager accessible to the calling code, either bound to the org.apac...
shiro认证.docx
06-23
Apache Shiro 是一个强大且易用的Java安全框架,它提供了认证、授权、会话管理和加密等功能,用于构建简单且健壮的应用安全控制层。Shiro认证部分是其核心功能之一,允许系统确认用户的身份。下面我们将详细讲解...
shiro安全管理器设置realm参数运行报No bean of type ‘org.apache.shiro.realm.Realm‘ found.
weixin_45392991的博客
12-08 2464
安全管理器里参数不设置了,直接调用getRealm()方法。解决
springboot集成shiro认证出现报错Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToke
热门推荐
苏顺的博客
05-09 1万+
shiro密码验证的大致流程: 1. controller中login的时候 UsernamePasswordToken token = new UsernamePasswordToken(account, password); try { SecurityUtils.getSubject().login(token); } 2. realm中调用doGetAuthenticationInfo @Override
nginx-1.24.0.tar
09-06
Nginx 1.24.0 是 Nginx 开源项目发布的一个重要更新版本,该版本在性能优化、功能增强以及安全性提升方面带来了诸多改进。当您下载 Nginx 1.24.0 的压缩包时,您将获得一个包含 Nginx 源代码的压缩文件,通常命名为 nginx-1.24.0.tar.gz(对于 GNU/Linux 和 macOS 系统)或类似的格式,具体取决于发布平台。 这个压缩包包含了编译 Nginx 服务器所需的所有源代码文件、配置文件模板(如 nginx.conf)、模块源码以及构建和安装说明。通过解压这个压缩包,您可以在支持 C 语言编译器的操作系统上编译并安装 Nginx 1.24.0。 Nginx 1.24.0 引入了一系列新特性和优化,可能包括但不限于对 HTTP/2 和 HTTP/3 协议的进一步支持、性能提升、新的模块或模块更新,以及对已知安全漏洞的修复。这使得 Nginx 能够在保持其作为高性能 HTTP 和反向代理服务器的声誉的同时,继续满足不断发展的网络需求。
智能化病虫害标注系统前端.zip
09-06
图像识别技术在病虫害检测中的应用是一个快速发展的领域,它结合了计算机视觉和机器学习算法来自动识别和分类植物上的病虫害。以下是这一技术的一些关键步骤和组成部分: 1. **数据收集**:首先需要收集大量的植物图像数据,这些数据包括健康植物的图像以及受不同病虫害影响的植物图像。 2. **图像预处理**:对收集到的图像进行处理,以提高后续分析的准确性。这可能包括调整亮度、对比度、去噪、裁剪、缩放等。 3. **特征提取**:从图像中提取有助于识别病虫害的特征。这些特征可能包括颜色、纹理、形状、边缘等。 4. **模型训练**:使用机器学习算法(如支持向量机、随机森林、卷积神经网络等)来训练模型。训练过程中,算法会学习如何根据提取的特征来识别不同的病虫害。 5. **模型验证和测试**:在独立的测试集上验证模型的性能,以确保其准确性和泛化能力。 6. **部署和应用**:将训练好的模型部署到实际的病虫害检测系统中,可以是移动应用、网页服务或集成到智能农业设备中。 7. **实时监测**:在实际应用中,系统可以实时接收植物图像,并快速给出病虫害的检测结果。 8. **持续学习**:随着时间的推移,系统可以不断学习新的病虫害样本,以提高其识别能力。 9. **用户界面**:为了方便用户使用,通常会有一个用户友好的界面,显示检测结果,并提供进一步的指导或建议。 这项技术的优势在于它可以快速、准确地识别出病虫害,甚至在早期阶段就能发现问题,从而及时采取措施。此外,它还可以减少对化学农药的依赖,支持可持续农业发展。随着技术的不断进步,图像识别在病虫害检测中的应用将越来越广泛。
Python 小游戏 (贪吃蛇、五子棋、扫雷、俄罗斯方块)
最新发布
09-06
python
MATLAB/simulink 电力系统之变压器仿真-变压器空载运行仿真,磁通饱和+励磁电流
09-06
MATLAB/simulink 电力系统之变压器仿真- 变压器空载运行仿真,磁通饱和+励磁电流
超级好的电赛习题分享.zip
09-06
电赛习题.zip
8051Proteus仿真c源码串口通讯计算器
09-06
8051Proteus仿真c源码串口通讯计算器提取方式是百度网盘分享地址
算法部署-基于ONNX+MNN+Cpp部署语音识别模型-附项目源码-优质项目实战.zip
09-06
算法部署_基于ONNX+MNN+Cpp部署语音识别模型_附项目源码_优质项目实战
全球与中国聚烯烃弹性体 (POE)市场现状及未来发展趋势(2024版).docx
09-06
全球与中国聚烯烃弹性体 (POE)市场现状及未来发展趋势(2024版).docx
k8s1.31-images.tar
09-06
本压缩包内含Kubernetes(简称k8s)1.31版本的完整镜像集合,专为高效部署与升级Kubernetes集群而精心准备。Kubernetes作为业界领先的容器编排平台,1.31版本在稳定性、性能优化、新特性引入及安全性增强方面均实现了显著提升。 该镜像压缩包集成了所有必要的Kubernetes组件镜像,包括但不限于kube-apiserver、kube-controller-manager、kube-scheduler、etcd、kubelet及kube-proxy等核心组件,确保用户能够一键部署或无缝升级至最新版本的Kubernetes集群,极大地简化了部署流程,降低了运维复杂度。 此外,本镜像包还经过严格测试,确保与主流操作系统及云环境兼容,无论是裸机部署、虚拟机环境还是云服务商提供的Kubernetes服务,都能轻松集成使用。同时,我们优化了镜像体积,减少了不必要的空间占用,加快了下载与部署速度,让用户能够更快地享受到Kubernetes 1.31版本带来的技术红利。 总之,k8s1.31版本镜像压缩包是构建或升级现代云原生应用基础设施的理想选择。
org.apache.shiro.authc.AuthenticationException: Authentication failed for token submission [com.college.collegesystem.shiro.JWTToken@1e319204]. Possible unexpected error? (Typical or expected login exceptions should extend from AuthenticationException). at org.apache.shiro.authc.AbstractAuthenticator.authenticate(AbstractAuthenticator.java:214) at org.apache.shiro.mgt.AuthenticatingSecurityManager.authenticate(AuthenticatingSecurityManager.java:106) at org.apache.shiro.mgt.DefaultSecurityManager.login(DefaultSecurityManager.java:274) at org.apache.shiro.subject.support.DelegatingSubject.login(DelegatingSubject.java:260)
07-15
1. 确保认证令牌(JWTToken)被正确创建并且包含了有效的身份验证信息。 2. 检查身份验证处理器(Authenticator)的实现,确保它能够正确处理认证令牌,并进行有效的身份验证。 3. 检查安全管理器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值